Intro: Данная статья написана исключительно в мирных целях, её не стоит
воспринимать за руководство ко взлому,
и тем более, как практическое пособие.
И вообще, я не первый, кто пишет подобные вещи, так что заранее заявляю,
что
не несу никакой ответственности за тот вред, который может принести (и принесёт,
надеюсь) эта вещь.

Основная тема всего нижеследующего бреда  — проблемы в
обработчике запросов драйвера MS ODBC и релиз кульно-рульной проги под хитрым
названием Sss (то бишь Shadow Security Scanner). Про сам релиз вы
можете
прочитать чуть раньше, кто-то уже её тут описывал, я же просто буду
опираться на результаты, полученные в ходе
её использования. Итак, скачав сей
продукт, я, естественно, тут же решил произвести бета-тестирование. Для
тестов
мне попался тихий забитый homеpage одного знакомого геймклуба,
который в
дальнейшем буду для простоты называть сервер.
Сам сайт имел тихое, не
содержащее лишних понтов доменное имя третьего уровня и стоял на
WinNT4.0.
Запустив прогу, я отправился ужинать (при моём коннекте времени
сканирования с лихвой хватило бы не то,
что ужин, а на солидный банкет с
последующими танцами и девочками:). Вернувшись, я обнаружил, что прога
зависла на самом интересном месте. Помянув недобрым словом Красную Тень
и его
весёлые сканнеры с соотношением понтов/багов 1:1, я плюнул на глюки и решил
просмотреть те результаты, что уже имелись в моём распоряжении. Вот тут-то я
и подпрыгнул до потолка от радости. Логи были оформлены в
виде
HTML-страниц (!) с живыми ссылками (!), описанием всех найденных дыр(!), и прямыми
линками на соответствующий багтрак!!! Короче, приложив минимум усилий, я
сэкономил кучу времени. Итак, вот те результаты, что имелись в
моём
распоряжении:
——————
FTP Servers: Anonymous FTP
Port: 21 

——————
CGI
Scripts: CGI — ExAir query DoS
Port: 80
Script http://server/IISSamples/ExAir/search/query.asp

BugtraqID: 193

——————
CGI
Scripts: CGI — ExAir advsearch DoS
Port: 80
Script http://server/IISSamples/ExAir/search/advsearch.asp
BugtraqID:
193
——————
CGI
Scripts: CGI — ExAir search DoS
Port: 80
Script
http:/server/IISSamples/ExAir/search/search.asp
BugtraqID: 193

——————
CGI
Scripts: IIS Web adminsitration hole
Port: 80
Script http://server/iisadmpwd/aexp4b.htr
——————
CGI
Scripts: MSADCS RDS Vulnerability
Port: 80
Script http://server/msadc/msadcs.dll
BugtraqID:
529
——————
Web
Servers: codebrws.asp
Port: 80
Script http://server/iissamples/exair/howitworks/codebrws.asp
——————

Понятно, что если бы я был Митником, то мне вполне хватило бы одного
Anonymous FTP. Но так, как я (а возможно и ты, друг) пока недостаточно крут
для таких вещей, то пришлось искать что-то попроще. Следующие 3 скрипта давали
уязвимость, позволяющую загрузить процессор до 100%. Эту возможность я
оставил на крайний случай, если не получится ничего другого, так хоть
западло
будет что надо:). Что такое Web Administration Hole (Дырка Администрации
Паутины), я не знал, но справедливо предположил, что это имеет отношение к
женскому полу, но при чём здесь Паутина, а также Администрация (женщины —
плохие админы), я не понял, ну и ладно. А вот следующий и последующий пункты
меня очень даже оживили. Уязвимость в MSADCS.DLL давала возможность исполнять
команды на удалённой машине с высшим (системным) приоритетом. А стрёмный
cod ebrws.asp позволял просматривать файлы на сервере. Уже хорошо. Вот на этом
месте достаточно образованные товарищи скажут «Да ну его на
фиг, этого
ламера, мы и так нормально сечём, тут уже нечего делать, мы пошли ломать». Ну и
фиг с вами, идите, мне начхать! Так вот, касательно сервера; сначала я
попробовал применить эксплоит от eEye под названием iishack, но после
победных надписей о том, что, мол, всё класс, мужик, портшелл заливается, iis
в дауне, и.т.д., ничего почему-то не произошло.
«Пропатчено» — подумал
Штирлиц. «Штирлиц» — подумало Пропатчено. 

Нужно было искать другие пути. После
этого я попытался утянуть у них sam._ и всучить всё это дело l0phtcrack’у, но
вонючий, гадский, …., ……., … codebrws.asp конкретно
перепортил это
дело, и выяснить что-либо не представлялось возможным. (Кстати,
дабы меня не
обвинили в плагиаторстве, надо заметить, что все действия, описанные тут, я
совершал, руководствуясь материалами с l0pht.com, void.ru и
microsoft.com). Потом я нашёл на сервере newdsn.exe, и вспомнил о тех самых
дырах в ODBC-драйверах. Что это за дыры и с чем их едят,
я конечно же не
знал, но, как порядочный человек, полез на багтрак и стал вчитываться в бред на
английском, изредка перемежающийся полезной информацией. После некоторого
изучения этого материала стало ясно, что для создания
объекта (Data Source),
запрос к скрипту должен иметь примерно следующий вид: 

http://server/scripts/tools/newdsn.exe?
driver=Microsoft%2BAccess%2BDriver%2B%28*. mdb%29&dsn=nazgul&dbq=c%3A%5Csys.mdb&
newdb=CREATE_DB&attr=HTTP/1.0

Конечно,
до этого было несколько неудачных попыток, но в конце концов я получил «Data
Source creation succesful» на
красивом сером фоне. Дальше я узнал из
документации (сайты смотрите выше), что драйвер ODBS, через который
обращаются к DSN’у имеет свойство воспринимать виды запроса к нему,
выделенные «|» и содержащие строку типа shell («…..») как
руководство к
исполнению команд с системными правами. Круто? Вот и я так подумал. Но зато
когда я обратился к msadcs.dll, мне в ответ написали какой-то стрём, в
котором было нечто вроде этого: «Content-Type: application/x-varg
Content-Length: 6» и т.д… То есть, обращение шло через какой-то непонятный
формат Майкрософта application/x-varg. Ну, я стал думать, как быть
дальше. На
Void по этому поводу было высказывание, что, мол, если не получится сразу
написать свой руль на дельфи, то идите изучать документацию к Биллу, а потом
всё равно напишете, куда вы денетесь-то:). На багтраке по этому
поводу придерживались совершенно другого мнения, и выложили готовый «The
Remote Data Service (RDS) Exploit By Wanderley [-Storm-] Jr. «. После всего
этого и создания DSN’a, который потом и эксплоитился, команды шелла прошли без
запинки. 

После закачки и исполнения на сервере GetAdmin’a всё вообще стало
путём!:).

P.S.: Извините, если задел кого по ходу изложения, я честно не
хотел!!. И, надеюсь, вам понятно, что я никакой не гений,
а такой же юзер,
как и вы!:)) Удачи в администрировании! rm -r/!

Оставить мнение

Check Also

Windows 10 против шифровальщиков. Как устроена защита в обновленной Windows 10

Этой осенью Windows 10 обновилась до версии 1709 с кодовым названием Fall Creators Update …